J'ai été capable de trouver quelque chose d'intéressant qui était très utile dans mon cas.
Il existe un fichier appelé sharedStrings.xml, qui contient toutes les chaînes utilisées dans une ou plusieurs cellules d'une feuille de calcul. Les feuilles de calcul se réfèrent elles-mêmes à ce fichier pour économiser des ressources.
Les chaînes du fichier de chaînes partagées sont documentées de manière séquentielle. Si vous avez un événement malveillant spécifique (par exemple quelqu'un a écrit ou écrasé un contenu de cellule), vous pouvez être en mesure de déterminer toutes les activités avant et après.
contenu Exemple de sharedStrings.xml:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="3" uniqueCount="3"><si><t>First input</t></si><si><t>Second input</t></si><si><t>Third input</t></si></sst>
conduit à cette séquence d'actions:
- nouveau contenu cellulaire Ajouté
First input
- nouveau contenu cellulaire Ajouté
Second input
- Ajouté nouveau contenu cellulaire
Third input
Si le contenu d'une cellule est remplacé, toute l'entrée de ce fichier est également remplacée (il n'y a pas d'auditabilité). Il en va de même si le contenu d'une cellule est supprimé. L'entrée entière sera également supprimée.
Dans mon cas, il était possible de déterminer quel utilisateur pouvait gérer le contenu de la cellule avant et après l'événement malveillant. Cela ne conduit pas à un suspect spécifique, mais il réduit la liste des suspects possibles.